Szkolenie z zakresu bezpieczeństwa informacji
Plan prezentacji 1. Podstawowe pojęcia ochrony danych osobowych 2. Zasady przetwarzania danych osobowych 3. Obowiązki GIODO 4. Obowiązki Administratora Ochrony Danych 5. Obowiązki Administratora Bezpieczeństwa Informacji 6. Rejestracja zbioru danych osobowych 7. Rozporządzenie MSWiA ws dokumentacji przetwarzania danych osobowych 8. Norma ISO/IEC 27001 9. Norma ISO/IEC 27002 10. Zadania i procesy, jakie należy realizować w związku z ustawą o ODO
PODSTAWOWE POJĘCIA DANE OSOBOWE wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6 ustawy o ODO) [np. imię, nazwisko, nr PESEL]
Czy zdjęcie będzie daną osobową?
PODSTAWOWE POJĘCIA PRZETWARZANIE DANYCH OSOBOWYCH jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie, (np. przechowywanie dokumentów w archiwum)
PODSTAWOWE POJĘCIA ZBIÓR DANYCH posiadający strukturę zestaw danych o charakterze osobowym oraz abstrakcyjnym (np. lista zatrudnionych pracowników)
ZASADY PRZETWARZANIA DANYCH OSOBOWYCH 1. Zasada legalności Przetwarzanie danych osobowych musi odbywać się zgodnie z obowiązującymi przepisami prawnymi przede wszystkim musi być spełniona jedna z przesłanek legalności przetwarzania danych osobowych określona w art. 23 ust. 1 ustawy, a w przypadku danych wrażliwych ich przetwarzanie musi mieścić się w zakresie jednego z wyjątków wskazanych w art. 27 ustawy
2. Zasada realizowania zgodnego z prawem celu zbieranie danych osobowych dopuszczalne jest tylko dla realizacji oznaczonych, zgodnych z prawem celów dane nie mogą być poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,
przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje: w celach badań naukowych, dydaktycznych, historycznych lub statystycznych (np. praca magisterska), z zachowaniem przesłanek legalności przetwarzania danych osobowych i stosownych obowiązków informacyjnych
3. Zasada poprawności i adekwatności przetwarzane dane muszą być merytorycznie poprawne, m.in. aktualne, stąd administrator danych zobligowany jest poinformować osoby, których dane przetwarza, o prawie dostępu do treści swoich danych i ich poprawiania zakres przetwarzanych danych osobowych musi być adekwatny w stosunku do oznaczonego celu i stanowić minimum konieczne do zrealizowania określonego celu (wymóg proporcjonalności /adekwatności/ to kluczowy wymóg w procesie przetwarzania danych osobowych)
4. Zasada ograniczenia czasowego dane nie powinny być przetwarzane dłużej niż jest to niezbędne dla realizacji określonych celów po zrealizowaniu celu, dla którego dane zostały zebrane, ich przechowywanie jest co do zasady dopuszczalne wówczas, gdy obowiązek przechowywania wynika z przepisów (np. akta pracownicze)
Przetwarzanie danych Zbieranie danych Udostępnianie danych Aktualność danych Rodzaj danych Adekwatność zbierania danych do celu ich przetwarzania Usuwanie danych Cel przetwarzania
DANE WRAŻLIWE dane ujawniające pochodzenie rasowe oraz etniczne (np. kolor skóry) dane ujawniające poglądy polityczne (np. poglądy lewicowe) dane ujawniające przekonania religijne oraz filozoficzne (np. wyznanie ewangelickie)
DANE WRAŻLIWE dane ujawniające przynależność wyznaniową, partyjną, związkową (np. SLD) dane o stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym (np. spis palących pracowników) dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym
DANE WRAŻLIWE Zgodnie z art. 27 ustawy o ochronie danych osobowych co do zasady zabrania się przetwarzania danych wrażliwych. Istnieją jednak wyjątki od tej zasady.
Art. 27 ust 2 ustawy o ODO - Przetwarzanie danych wrażliwych jest dopuszczalne, jeżeli np: Osoba, której dane dotyczą wyrazi zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych Przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dotyczą i stwarza pełne gwarancje ich ochrony Przetwarzanie dotyczy danych niezbędnych do dochodzenia praw przed sądem Przetwarzanie dotyczy danych podanych do wiadomości publicznej przez osobę, której dane dotyczą
DANE ZWYKŁE Art. 23 ustawy o ochronie danych osobowych przewiduje 5 przesłanek legalności przetwarzania danych osobowych. Są to: 1. Zgoda osoby, której dane dotyczą; 2. Prawo lub obowiązek wynikający z przepisu prawnego; 3. Realizacja umowy, gdy osoba której dane dotyczą jest jej stroną ; 4. Realizacja zadania publicznego; 5. Wypełnienie prawnie usprawiedliwionego celu.
Obowiązki Generalnego Inspektora ochrony danych osobowych (GIODO) GIODO to organ ochrony danych osobowych nadzorujący przestrzeganie przez administratorów danych przepisów o ochronie danych osobowych; Do jego obowiązków należy kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
Obowiązki Generalnego Inspektora ochrony danych osobowych (GIODO) Prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach; Wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych;
Kontrola GIODO 1. Inspektor dokonujący kontroli obowiązany jest okazać się imiennym upoważnieniem i legitymacją służbową (kontrolę może odbywać w godzinach 6 22). 2. Kierownik kontrolowanej jednostki jest obowiązany umożliwić inspektorowi przeprowadzenie kontroli, w szczególności: oględziny sprzętu i wyposażenia, przeglądanie dokumentów i wszelkich danych, oraz przesłuchiwanie wzywanych osób i przyjmowanie wyjaśnień.
Kontrola GIODO 3. W toku kontroli zbiorów uzyskanych w wyniku czynności operacyjno-rozpoznawczych inspektor przeprowadzający kontrolę ma prawo wglądu do zbioru zawierającego dane osobowe jedynie za pośrednictwem upoważnionego przedstawiciela kontrolowanej jednostki organizacyjnej. 4. Z czynności kontrolnych inspektor sporządza protokół, którego jeden egzemplarz doręcza kontrolowanemu administratorowi danych.
Kontrola GIODO 5. Protokół podpisują inspektor i kontrolowany administrator danych, który może wnieść do protokołu umotywowane zastrzeżenia i uwagi. 6. W razie odmowy podpisania protokołu przez kontrolowanego administratora danych, inspektor czyni o tym wzmiankę w protokole, a odmawiający podpisu może, w terminie 7 dni, przedstawić swoje stanowisko na piśmie GIODO.
Kontrola GIODO skutki kontroli 1. Jeżeli inspektor stwierdzi naruszenie przepisów o ochronie danych osobowych, występuje do GIODO o zastosowanie odpowiednich środków. 2. GIODO z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: usunięcie uchybień uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych
ADMINISTRATOR DANYCH OSOBOWYCH To osoba fizyczna, prawna bądź jednostka organizacyjna bez osobowości prawnej, która decyduje o celach i środkach przetwarzania danych osobowych: Administratorem danych osobowych nie jest każdy dysponent tych danych, a tylko ten, kto decyduje o celach i środkach ich przetwarzania wyrok NSA (syg. II SA 1098/01).
ADMINISTRATOR DANYCH OSOBOWYCH Może powołać administratora bezpieczeństwa informacji (art. 36a ustawy o ODO) Spoczywa na nim szereg obowiązków związanych z przetwarzaniem danych osobowych, czyli: obowiązek informacyjny obowiązki związane z zabezpieczeniem danych, (np. uniemożliwienie dostępu do danych osobom nieupoważnionym)
ADMINISTRATOR DANYCH OSOBOWYCH obowiązek zgłoszenia zbioru danych do rejestru, wprowadzenie dokumentacji z zakresu przetwarzania danych (Polityka Bezpieczeństwa i Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych) i nadanie upoważnień do przetwarzania danych.
ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI Administrator Danych Osobowych może powołać Administratora Bezpieczeństwa Informacji. Fakt powołania ABI podlega zgłoszeniu do ogólnopolskiego, jawnego rejestru prowadzonego przez GIODO. ADO może powołać także zastępców ABI (art. 36a ust. 6 ustawy o ODO). Dane o zastępcach ABI nie podlegają rejestracji. Zastępcy ABI muszą spełnić takie same wymogi, co sam ABI.
ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI W przypadku niepowołania ABI to Administrator Danych Osobowych wykonuje, co do zasady, jego obowiązki (art. 36b ustawy o ODO). ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych (art. 36a ust. 7 ustawy o ODO )
ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI Art. 36a ust. 5 ustawy o ODO ABI może zostać jedynie osoba, która: 1. posiada pełną zdolność do czynności prawnych 2. korzysta z pełni praw publicznych; 3. posiada odpowiednią wiedzę w zakresie ochrony danych osobowych; 4. nie była karana za przestępstwo umyślne.
OBOWIĄZKI ABI Art. 36a ust. 2 ustawy o ODO 1. Zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności: Sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych
OBOWIĄZKI ABI Nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 oraz przestrzegania zasad w niej określonych Zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych; 2. Prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych
UPRAWNIENIE DO REJESTRACJI ABI GIODO prowadzi ogólnopolski, jawny rejestr administratorów bezpieczeństwa informacji Administrator Danych Osobowych może zgłosić do rejestracji Generalnemu Inspektorowi powołanie Administratora Bezpieczeństwa Informacji w terminie 30 dni od dnia jego powołania (art. 46b ustawy o ODO). Dane zawarte w zgłoszeniu powołania ABI do rejestracji: dane identyfikujące ADO dane identyfikujące ABI oświadczenie ADO
UPRAWNIENIE DO REJESTRACJI ABI Jeżeli ADO powołał ABI to może go również odwołać. W tym celu ADO musi zgłosić wniosek o odwołanie ABI, które powinien zawierać informacje o dacie i przyczynie jego odwołania. Odwołanie ABI powinno zostać zgłoszone GIODO w ciągu 30 dni od dnia zaistnienia tego faktu (art. 46b ustawy o ODO). Wzory zgłoszenia powołania i odwołania ABI stanowią załącznik do Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r.
OBOWIĄZEK REJESTRACJI ZBIORÓW DANYCH OSOBOWYCH Jeżeli Administrator Danych Osobowych nie powoła ABI, jest on zobowiązany zgłosić zbiór danych do rejestracji GIODO, z wyjątkiem 12 przypadków, o których mowa w art. 43 ust. 1 i 1a, m.in.
WYJĄTKI DOTYCZĄCE REJESTRACJI DANYCH Zawierające informacje niejawne Przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się
WYJĄTKI DOTYCZĄCE REJESTRACJI DANYCH Dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności Przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej
WYJĄTKI DOTYCZĄCE REJESTRACJI DANYCH Powszechnie dostępnych Przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego
WYJĄTKI DOTYCZĄCE REJESTRACJI DANYCH Przetwarzanych w zakresie drobnych bieżących spraw życia codziennego Przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane wrażliwe
ZGŁOSZENIE DO REJESTRACJI ZBIORU DANYCH OSOBOWYCH Zgłoszenie powinno zawierać wytyczne zawarte zgodnie z Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, który stanowi załącznik do Rozporządzenia
ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
Rozporządzenie określa: 1. Sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;
Rozporządzenie określa: 2. Podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych; 3. Wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych.
Rozporządzenie określa: 4. Jakie poziomy bezpieczeństwa infrastruktury informatycznej należy stosować w zależności od pewnych elementów jej architektury oraz w zależności od tego jakie dane osobowe są przetwarzane w systemach.
POZIOMY BEZPIECZEŃSTWA System jest podłączony z publiczną siecią telekomunikacyjną. POZIOM WYSOKI W systemie przetwarzane są dane wrażliwe. System nie jest podłączony z publiczną siecią telekomunikacyjną. POZIOM PODWYŻSZONY W systemie nie są przetwarzane dane wrażliwe. System nie jest podłączony z publiczną siecią telekomunikacyjną. POZIOM PODSTAWOWY
Na dokumentację, o której mowa w 1 pkt 1, składa się: Polityka bezpieczeństwa informacji Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej instrukcją". Dokumentację, o której mowa w 1 pkt 1, prowadzi się w formie pisemnej oraz wdrażane są przez Administratora danych osobowych.
Polityka bezpieczeństwa informacji (PBI) Polityka bezpieczeństwa, o której mowa w 3 ust. 1, zawiera w szczególności: 1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; 2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
Polityka bezpieczeństwa informacji (PBI) Polityka bezpieczeństwa, o której mowa w 3 ust. 1, zawiera w szczególności: 3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; 4) sposób przepływu danych pomiędzy poszczególnymi systemami; 5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych (IZSI) Instrukcja, o której mowa w 3 ust. 1, zawiera w szczególności: 1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; 2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych (IZSI) Instrukcja, o której mowa w 3 ust. 1, zawiera w szczególności: 3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; 4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych (IZSI) Instrukcja, o której mowa w 3 ust. 1, zawiera w szczególności: 5) sposób, miejsce i okres przechowywania: a) elektronicznych nośników informacji zawierających dane osobowe, b) kopii zapasowych, o których mowa w pkt 4, 6) sposób zabezpieczenia systemu informatycznego przed działalnością złośliwego oprogramowania
Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych (IZSI) Instrukcja, o której mowa w 3 ust. 1, zawiera w szczególności: 7) sposób realizacji wymogów, o których mowa w 7 ust. 1 pkt 4; 8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
NORMA ISO/IEC 27001 To norma międzynarodowa standaryzująca systemy zarządzania bezpieczeństwem informacji. Została ogłoszona 14 października 2005 r. na podstawie brytyjskiego standardu BS 7799-2 opublikowanego przez BSI. W Polsce normę ISO/IEC 27001 opublikowano 4 stycznia 2007 r. ISO/IEC 27001 jest specyfikacją systemów zarządzania bezpieczeństwem informacji na zgodność z którą mogą być prowadzone audyty, na podstawie których są wydawane certyfikaty.
NORMA ISO/IEC 27001 W normie ISO/IEC 27001 wyróżniono jedenaście obszarów, mających wpływ na bezpieczeństwo informacji w organizacji: Polityka bezpieczeństwa; Organizacja bezpieczeństwa informacji; Zarządzanie aktywami; Bezpieczeństwo zasobów ludzkich;
NORMA ISO/IEC 27001 Bezpieczeństwo fizyczne i środowiskowe; Zarządzanie systemami i sieciami; Kontrola dostępu; Zarządzanie ciągłością działania; Pozyskiwanie, rozwój i utrzymanie systemów informatycznych; Zarządzanie incydentami związanymi z bezpieczeństwem informacji; Zgodność z wymaganiami prawnymi i własnymi standardami.
NORMA ISO/IEC 27002 To międzynarodowa norma określająca wytyczne związane z ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem Systemu zarządzania bezpieczeństwem informacji (SZBI)
NORMA ISO/IEC 27002 ISO 27002 jest próbą zgromadzenia i standaryzacji wytycznych w celu osiągnięcia takich korzyści, jak: utworzenie katalogu zabezpieczeń, który jest rozpoznawany na całym świecie, jako zaufany dla wielu organizacji, wyznaczenie miernika dającego możliwości ewaluacji SZBI, stworzenie meta standardu dającego możliwości odnoszenia się do niego przez różne regulacje branżowe.
NORMA ISO/IEC 27002 W celu osiągnięcia założonych celów, ISO 27002 identyfikuje 11 obszarów zabezpieczeń, 39 celów zabezpieczeń oraz 133 zabezpieczenia. Każde zabezpieczenie jest odpowiednio opisane wraz z wytycznymi do implementacji i wyjaśnieniem intencji jego stosowania. Standard wskazuje również, które zabezpieczenia powinny być ważne dla organizacji z legislacyjnego punktu widzenia, które zaś z punktu widzenia bezpieczeństwa informacji.
Podstawowe różnice pomiędzy ISO 27001 i ISO 27002 Standard audytorski oparty o wymagania stawiane audytowi. Lista zabezpieczeń organizacyjnych, które powinny zostać uwzględnione. Używany do audytowania bezpieczeństwa organizacji oraz certyfikowania w zakresie SZBI. Wytyczne implementacyjne oparte o rekomendowane dobre praktyki. Lista 133 zabezpieczeń operacyjnych, które organizacja powinna rozważyć. Używany do szacowania kompletności i spójności systemu zarządzania bezpieczeństwem organizacji.
Zadania i procesy, jakie należy realizować w związku z ustawą o ODO Jakie dane i od kogo są zbierane Cel zbierania danych Ustalenie, czy wymagana jest rejestracja zbiorów Zadania związane z rejestracją zbiorów danych Obowiązek informacyjny Wydawanie i odbieranie upoważnień do przetwarzania danych osobowych; prowadzenie ewidencji wydanych upoważnień
Zadania i procesy, jakie należy realizować w związku z ustawą o ODO Zabezpieczenie danych osobowych w formie tradycyjnej i w systemach informatycznych Stworzenie i aktualizacja dokumentacji (PBI, IZSI) Nadzór nad ochroną danych osobowych (monitorowanie zabezpieczeń); powołanie ABI Usuwanie danych
Zasady przetwarzania danych w sytuacjach dnia codziennego
Zasady przetwarzania danych w sytuacjach dnia codziennego Przetwarzanie danych osobowych poza siedzibą firmy
Zasady przetwarzania danych w sytuacjach dnia codziennego Ksero sieciowe - zasady bezpiecznego drukowania dokumentów
Zasady przetwarzania danych w sytuacjach dnia codziennego Zbyt głośne rozmowy między pracownikami
Zasady przetwarzania danych w sytuacjach dnia codziennego Pozostawianie kluczy w drzwiach
Zasady przetwarzania danych w sytuacjach dnia codziennego Bezpieczne zasady elektronicznej wymiany dokumentów
Zasady przetwarzania danych w sytuacjach dnia codziennego Właściwe ustawienie monitorów
Zasady przetwarzania danych w sytuacjach dnia codziennego Właściwe przechowywanie haseł dostępu
Zasady przetwarzania danych w sytuacjach dnia codziennego Każdorazowe wylogowanie się ze swojego konta przed opuszczeniem stanowiska
Zasady przetwarzania danych w sytuacjach dnia codziennego Niepozostawianie osób postronnych w pomieszczeniu bez nadzoru osoby upoważnionej
Zasady przetwarzania danych w sytuacjach dnia codziennego Zasady postępowania z dokumentami
Zasady przetwarzania danych w sytuacjach dnia codziennego Informacje, jakich nie powinno się udzielać w rozmowach telefonicznych
Zasady przetwarzania danych w sytuacjach dnia codziennego Zasady niszczenia dokumentów
Zasady przetwarzania danych w sytuacjach dnia codziennego Ksero dowodów osobistych
Zasady przetwarzania danych w sytuacjach dnia codziennego Zasada czystego biurka
CZY MAJĄ PAŃSTWO JAKIEŚ PYTANIA?
Dziękuję za uwagę Marcin Polit 533 641 700 marcin.polit@itauditor.pl Paulina Wyszomirska 791 478 888 paulina.wyszomirska@itauditor.pl www.itauditor.pl